Role:

• AD Certificate Services
• web enrollment
• Online responder (alternativa k revocation listu)

Cert. templates

• druhy certifikátů, které dokáže vygenerovat
• Manage, Duplicate stávající šablony a edit…
• zál. Security - o tento cert může požádat jen user s právem Read a Enroll (přidává se účet počítače pro server)
• šablona cert se musí přidat do Certificate Templates (rigtclick - new - issue…)

Příklad vystavení pro IIS:

• IIS - Server certificates - Create Domain Cert. (CN musí být skutečné jméno nebo IP)

Příklad man. žádosti:

• certmgr.msc (pro current usera)
• certlm.msc (pro lokální pc)
• nebo mmc, add snap-in, certificates, pc/user rigtclick na personal - request new certificate - vybrat šablonu

Uživatelské certifikáty:

• žádá přes mmc, Certificates, user certificates
• nebo přes web: https://<nazev-serveru-CA>/CertSrv (cestu lze najit v IIS na CA serveru)
• Při zašifrování souboru, je možné jej dešifrovat jen priv. klíčem uživatele nebo recovery klíčem (priv.klíč administrátora, který je na prvním DC serveru)
• Data recovery key by se měl uložit do trezoru a z DC serveru smazat.
• je možnost ještě priv. klíče uživatelů ukládat v CA, pro případ ztráty klíčů a násl. obnovy zašifrovaných souborů.
• konzistenci cert na více PC zajistí jen roaming profil

Key recovery:

• nová šablona v CA pro Key Recovery agenta
• Issurance Requirments, odškrtnout CA cert. manager approval
• Enterprise admins a domain admins - kontrola práv
• přidat šablonu do Templates
• user (administrator) požádat o certifikát typu Key Recovery agent

• V CA povolit aby z klientů stahovala priv. klíče
• Rclick na CA - Recovery Agents - Archive the key - add certificate (ten nas recovery)

• Vygenerovat další template z User certificate (duplikovat User)
• Request Handling - zaškrtnout Archive subj.reqhandling private key
• aktivovat šablonu, nast. oprávnění pro uživatele

• uživatel po tom co zažádá o certifikát, tak se jeho priv. klíč uloží do CA